Sul mio notebook (Linux Mint 19.3) trovo pochi casi:

diego@dm-nb2:~$ sudo getcap -r /usr/bin/
/usr/bin/mtr-packet = cap_net_raw+ep
/usr/bin/gnome-keyring-daemon = cap_ipc_lock+ep

diego
---------------------------------------
Diego Maniacco, Bolzano (Italy)
diego.maniacco@gmail.com
---------------------------------------
Not f'd — you won't find me on Facebook
Not f'd — you won't find me on Facebook


On Wed, 26 Feb 2020 at 09:03, Diego Maniacco <diego.maniacco@gmail.com> wrote:
Interessante ma complesso.
trovo:  https://linux.die.net/man/3/cap_get_file

---------------------------------------
Diego Maniacco, Bolzano (Italy)
diego.maniacco@gmail.com
---------------------------------------
Not f'd — you won't find me on Facebook
Not f'd — you won't find me on Facebook


On Wed, 26 Feb 2020 at 08:39, Thomas Pircher <thp+lugbz@p5r.uk> wrote:
Chris Mair wrote:
> mi pare interessante poter dare questa
> capabiliy CAP_NET_BIND_SERVICE che citi, piuttosto di grezzamante
> dare setuid root all'eseguibile rischiando che faccia danni.

Un altro esempio concreto è il ping, che ha bisogno di creare un raw
socket per mandare pacchetti icmp. In passato questo programma doveva
essere setuid, ma adesso usa le capabilities sotto Linux:

root@grumpel:~# getcap /usr/bin/ping
/usr/bin/ping = cap_net_raw+ep

Altri esempi sono wireshark, tcpdump etc.

Thomas
_______________________________________________
http://lists.lugbz.org/cgi-bin/mailman/listinfo/lugbz-list